Apa yang terjadi
CVE-2026-40788 (CVSS 7.1 HIGH) dipublikasikan 2026-06-15. Plugin ChatBot WordPress dalam versi ≤ 7.9.7 mengandung broken access control yang dapat dieksploitasi oleh pengguna tingkat subscriber, memungkinkan mereka mengakses fungsi manajemen chatbot yang istimewa.
Mengapa penting
Plugin chatbot menyimpan log percakapan dan dapat menyimpan kunci API LLM di WordPress. Bypass kontrol akses memungkinkan anggota situs dengan hak akses rendah mengakses data percakapan sensitif atau memanipulasi konfigurasi chatbot.
Vektor serangan
Pengguna WordPress tingkat subscriber yang terautentikasi mengeksploitasi broken access control dalam plugin ChatBot untuk mengakses fungsi atau data yang dibatasi untuk pengguna dengan hak istimewa lebih tinggi.
Sistem yang terdampak
Plugin ChatBot WordPress ≤ 7.9.7
Mitigasi
Perbarui plugin ChatBot ke versi > 7.9.7. Patchstack advisory: https://patchstack.com/database/wordpress/plugin/chatbot/vulnerability/wordpress-chatbot-plugin-7-9-7-broken-access-control-vulnerability